El Cisco VPN 3000 Concentrator admite el método de tunelación PPTP (del inglés Point-to-Point Tunnel Protocol, protocolo de túnel punto a punto) para clientes nativos de Windows. Hay soporte de cifrado de 40 bits y 128 bits disponible en estos concentradores VPN para una conexión segura y confiable.
Consulte Configuración del Concentrador VPN 3000 PPTP con Cisco Secure ACS para la Autenticación RADIUS de Windows para configurar el Concentrador VPN para los usuarios PPTP con autenticación ampliada mediante Cisco Secure Access Control Server (ACS).
Asegúrese de cumplir con los prerrequisitos mencionados en ¿Cuándo se Admite el Cifrado PPTP en un Concentrador VPN 3000 de Cisco? antes de intentar esta configuración.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Concentrador VPN 3015 con versión 4.0.4.A
PC con Windows y cliente PPTP
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
En este documento, se utiliza esta configuración de red:
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Complete estos pasos para configurar el concentrador VPN 3000 con autenticación local.
Configure las direcciones IP respectivas en el concentrador VPN y asegúrese de que tiene conectividad.
Asegúrese de seleccionar PAP authentication en la pestaña Configuration > User Management > Base Group PPTP/L2TP.
Seleccione Configuration > System > Tunneling Protocols > PPTP y asegúrese de que Enabled esté marcado.
Seleccione Configuration > User Management > Groups > Add y configure un grupo PPTP. En este ejemplo, el nombre del grupo es "pptpgroup" y la contraseña (y la contraseña de verificación) es "cisco123".
En la ficha General del grupo, asegúrese de que la opción PPTP esté habilitada en los protocolos de autenticación.
En la ficha PPTP/L2TP, active la autenticación PAP y desactive el cifrado (el cifrado se puede activar en cualquier momento en el futuro).
Seleccione Configuration > User Management > Users > Add, y configure un usuario local (llamado "pptpuser") con la contraseña cisco123 para la autenticación PPTP. Coloque al usuario en el "pptpgroup" previamente definido:
En la ficha General para el usuario, asegúrese de que la opción PPTP esté habilitada en los protocolos de tunelización.
Seleccione Configuration > System > Address Management > Pools para definir un pool de direcciones para la administración de direcciones.
Seleccione Configuration > System > Address Management > Assignment e indique al concentrador VPN que utilice el conjunto de direcciones.
Nota: Ninguna de las informaciones disponibles aquí sobre la configuración del software de Microsoft incluye garantía o soporte para el software de Microsoft. Microsoft ofrece compatibilidad con el software de Microsoft.
Complete estos pasos para instalar la función PPTP.
Seleccione Start > Settings > Control Panel > Add New Hardware (Next) > Select from List > Network Adapter (Next).
Seleccione Microsoft en el panel izquierdo y Microsoft VPN Adapter en el derecho.
Complete estos pasos para configurar la función PPTP.
Seleccione Inicio > Programas > Accesorios > Comunicaciones > Acceso telefónico a redes > Realizar nueva conexión.
Conéctese mediante el adaptador VPN de Microsoft en la indicación Select a device (Seleccione un dispositivo). La IP del servidor VPN es el punto final del túnel 3000.
La autenticación predeterminada de Windows 98 utiliza cifrado de contraseña (por ejemplo, CHAP o MSCHAP). Para inhabilitar inicialmente este cifrado, seleccione Properties > Server types, y desmarque las casillas Encrypted Password y Require Data Encryption.
Complete estos pasos para configurar la función PPTP.
Seleccione Inicio > Programas > Accesorios > Comunicaciones > Conexiones de red y de marcación manual > Realizar nueva conexión.
Haga clic en Next y seleccione Connect to a private network through the Internet > Dial a connection prior (no seleccione esta opción si utiliza una LAN).
Vuelva a hacer clic en Next e ingrese el nombre de host o la IP del punto final del túnel, que es la interfaz externa del concentrador VPN 3000. En este ejemplo, la dirección IP es 161.44.17.1.
Seleccione Properties > Security for the connection > Advanced para agregar un tipo de contraseña como PAP. El valor predeterminado es MSCHAP y MSCHAPv2, no CHAP o PAP.
El cifrado de datos se puede configurar en esta área. Puede desactivarla inicialmente.
Puede obtener acceso a información acerca de cómo configurar clientes de Windows NT para PPTP en el sitio Web de Microsoft.
Complete estos pasos para configurar la función PPTP.
En el botón Start, elija Connect To.
Elija Configurar una conexión o red.
Elija Connect to a workspace y haga clic en Next.
Elija Usar mi conexión a Internet (VPN).
Nota: Si se le solicita "¿Desea utilizar una conexión que ya tiene?", elija No, cree una nueva conexión y haga clic en Siguiente.
En el campo Internet Address, escriba pptp.vpn.univ.edu, por ejemplo.
En el campo Nombre de destino, escriba UNIVVPN, por ejemplo.
En el campo Nombre de usuario, escriba su ID de inicio de sesión UNIV. Su ID de inicio de sesión UNIV es la parte de su dirección de correo electrónico antes de @univ.edu.
En el campo Contraseña, escriba su contraseña de ID de inicio de sesión UNIV.
Haga clic en el botón Create y, a continuación, haga clic en el botón Close.
Para conectarse al servidor VPN después de crear la conexión VPN, haga clic en Inicio y luego en Conectar a.
Elija la conexión VPN en la ventana y haga clic en Connect.
Asegúrese de que la conexión PPTP funciona sin cifrado antes de agregar cifrado. Por ejemplo, haga clic en el botón Connect en el cliente PPTP para asegurarse de que se completa la conexión. Si decide requerir cifrado, debe utilizar la autenticación MSCHAP. En VPN 3000, seleccione Configuration > User Management > Groups. A continuación, en la ficha PPTP/L2TP para el grupo, desmarque PAP, marque MSCHAPv1 y marque Required for PPTP Encryption.
El cliente PPTP se debe volver a configurar para el cifrado de datos opcional o necesario y MSCHAPv1 (si es una opción).
En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.
Puede iniciar la sesión PPTP marcando desde el cliente PPTP creado anteriormente en la sección Configuración del cliente PPTP de Microsoft.
Utilice la ventana Administration > Administer Sessions (Administración > Administrar sesiones) del concentrador VPN para ver los parámetros y estadísticas de todas las sesiones PPTP activas.
Ejecute el comando ipconfig en el modo de comando de la PC para ver que la PC tiene dos direcciones IP. Uno es su propia dirección IP y el otro es asignado por el Concentrador VPN desde el conjunto de direcciones IP. En este ejemplo, la dirección IP 172.16.1.10 es la dirección IP asignada por el concentrador VPN.
Si la conexión no funciona, la depuración de clase de evento PPTP se puede agregar al concentrador VPN. Seleccione Configuration > System > Events > Classes > Modify o Add (se muestra aquí). Las clases de eventos PPTPDBG y PPTPDECODE también están disponibles, pero pueden proporcionar demasiada información.
El registro de eventos se puede recuperar desde Monitoring > Filterable Event Log.
1 09/28/2004 21:36:52.800 SEV=4 PPTP/47 RPT=29 171.69.89.129 Tunnel to peer 171.69.89.129 established 2 09/28/2004 21:36:52.800 SEV=4 PPTP/42 RPT=29 171.69.89.129 Session started on tunnel 171.69.89.129 3 09/28/2004 21:36:55.910 SEV=5 PPP/8 RPT=22 171.69.89.129 User [pptpuser] Authenticated successfully with MSCHAP-V1 4 09/28/2004 21:36:59.840 SEV=4 AUTH/22 RPT=22 User [pptpuser] Group [Base Group] connected, Session Type: PPTP
Haga clic en la ventana Detalles del estado del usuario PPTP para comprobar los parámetros en el PC con Windows.
Estos son posibles errores que puede encontrar:
Nombre de usuario o contraseña incorrectos
Resultado de depuración del concentrador VPN 3000:
1 09/28/2004 22:08:23.210 SEV=4 PPTP/47 RPT=44 171.69.89.129 Tunnel to peer 171.69.89.129 established 2 09/28/2004 22:08:23.220 SEV=4 PPTP/42 RPT=44 171.69.89.129 Session started on tunnel 171.69.89.129 3 09/28/2004 22:08:26.330 SEV=3 AUTH/5 RPT=11 171.69.89.129 Authentication rejected: Reason = User was not found handle = 44, server = (none), user = pptpusers, domain = <not specified> 5 09/28/2004 22:08:26.330 SEV=5 PPP/9 RPT=11 171.69.89.129 User [pptpusers] disconnected.. failed authentication ( MSCHAP-V1 ) 6 09/28/2004 22:08:26.340 SEV=4 PPTP/35 RPT=44 171.69.89.129 Session closed on tunnel 171.69.89.129 (peer 32768, local 22712, serial 40761), reason: Error (No additional info) 8 09/28/2004 22:08:26.450 SEV=4 PPTP/34 RPT=44 171.69.89.129 Tunnel to peer 171.69.89.129 closed, reason: None (No additional info)
El mensaje que ve el usuario (desde Windows 98):
Error 691: The computer you have dialed in to has denied access because the username and/or password is invalid on the domain.
El mensaje que ve el usuario (desde Windows 2000):
Error 691: Access was denied because the username and/or password was invalid on the domain.
Se ha seleccionado "Encryption Required" (Se requiere cifrado) en el PC, pero no en el concentrador VPN
El mensaje que ve el usuario (desde Windows 98):
Error 742: The computer you're dialing in to does not support the data encryption requirements specified. Please check your encryption settings in the properties of the connection. If the problem persists, contact your network administrator.
El mensaje que ve el usuario (desde Windows 2000):
Error 742: The remote computer does not support the required data encryption type
Se ha seleccionado "Encryption Required" (Encriptación necesaria) (128 bits) en el concentrador VPN con un PC que solo admite encriptación de 40 bits
Resultado de depuración del concentrador VPN 3000:
4 12/05/2000 10:02:15.400 SEV=4 PPP/6 RPT=7 171.69.89.129 User [ pptpuser ] disconnected. PPTP Encryption configured as REQUIRED.. remote client not supporting it.
El mensaje que ve el usuario (desde Windows 98):
Error 742: The remote computer does not support the required data encryption type.
El mensaje que ve el usuario (desde Windows 2000):
Error 645 Dial-Up Networking could not complete the connection to the server. Check your configuration and try the connection again.
El concentrador VPN 3000 está configurado para MSCHAPv1 y la PC está configurada para PAP, pero no pueden acordar un método de autenticación
Resultado de depuración del concentrador VPN 3000:
8 04/22/2002 14:22:59.190 SEV=5 PPP/12 RPT=1 171.69.89.129 User [pptpuser] disconnected. Authentication protocol not allowed.
El mensaje que ve el usuario (desde Windows 2000):
Error 691: Access was denied because the username and/or password was invalid on the domain.
Cómo Mantener las Conexiones RAS Activas después de Cerrar una Sesión
Cuando cierra sesión en un cliente de Servicio de acceso remoto de Windows (RAS), las conexiones RAS se desconectan automáticamente. Habilite la clave KeepRasConnections en el Registro del cliente RAS para permanecer conectado después de cerrar sesión. Consulte el Artículo de Microsoft Knowledge Base - 158909 para obtener más información.
No se Alerta al Usuario cuando se Inicia Sesión con las Credenciales Guardadas en Caché
Los síntomas de este problema son cuando intenta iniciar sesión en un dominio desde una estación de trabajo basada en Windows o un servidor miembro y no se puede encontrar un controlador de dominio y no se muestra ningún mensaje de error. En su lugar, se abre una sesión en el equipo local con las credenciales guardadas en caché. Consulte el Artículo de Microsoft Knowledge Base - 242536 para obtener más información.
Cómo Escribir un Archivo LMHOSTS para la Validación de Dominio y Otros Problemas de Resolución de Nombre
Puede haber casos en los que experimente problemas de resolución de nombres en la red TCP/IP y necesite utilizar archivos LMHOSTS para resolver nombres NetBIOS. Este artículo trata sobre el método adecuado que se utiliza para crear un archivo LMHOSTS para ayudar en la resolución de nombres y la validación de dominios. Consulte el Artículo de Microsoft Knowledge Base - 18094 para obtener más información.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
11-Dec-2001 |
Versión inicial |